SecuriDropper mobiele malware

Cybersecurity-experts hebben een nieuwe dienst onthuld genaamd SecuriDropper, die werkt als een 'dDopper-as-a-Service' (DaaS) voor Android-apparaten. SecuriDropper is ontworpen om de nieuwste beveiligingsbeperkingen van Google te omzeilen en implementeert met succes malware op Android-apparaten.

Een dropper-malware op Android dient als middel om de installatie van bedreigende software op aangetaste apparaten te vergemakkelijken, waardoor een winstgevend bedrijfsmodel ontstaat voor fraudegerelateerde personen. Deze dreigingsactoren kunnen hun capaciteiten aan andere criminele organisaties verkopen.

Bovendien stelt deze aanpak kwaadwillenden in staat de ontwikkeling en uitvoering van een aanval te scheiden van de daadwerkelijke installatie van de malware. Het landschap van droppers en de individuen die hen orkestreren, is voortdurend in beweging terwijl ze zich aanpassen aan tegengestelde veiligheidsmaatregelen.

SecuriDropper omzeilt verschillende beveiligingsmaatregelen

Google's Android 13 heeft een beveiligingsfunctie geïntroduceerd die bekend staat als 'Beperkte instellingen'. Deze functie is ontworpen om te voorkomen dat sideloaded-applicaties Accessibility and Notification Listener-machtigingen verkrijgen, die vaak worden uitgebuit door banktrojans.

SecuriDropper is ontworpen om deze beveiliging te omzeilen zonder argwaan te wekken, vaak vermomd als schijnbaar onschadelijke toepassingen. Enkele van de gevallen die je in het wild tegenkomt zijn onder meer:

com.appd.instll.load (Google)

com.appd.instll.load (Google Chrome)

Wat SecuriDropper onderscheidt is de unieke benadering van het installatieproces. In tegenstelling tot zijn voorgangers gebruikt deze malwarefamilie een alternatieve Android API om de nieuwe payload te installeren, een weerspiegeling van het proces dat wordt gebruikt door legitieme applicatiemarktplaatsen voor de installatie van nieuwe applicaties. Dit omvat het aanvragen van toestemming om gegevens te lezen en te schrijven naar externe opslag (READ_EXTERNAL_STORAGE en WRITE_EXTERNAL_STORAGE) en om pakketten te installeren en te verwijderen (REQUEST_INSTALL_PACKAGES en DELETE_PACKAGES).

In de tweede fase van de aanval worden slachtoffers gevraagd op de knop 'Opnieuw installeren' in de app te klikken om een vermeende installatiefout op te lossen, waardoor de installatie van de kwaadaardige lading wordt vergemakkelijkt.

Onderzoekers hebben de verspreiding van Trojaanse paarden voor Android-bankieren, zoals SpyNote en ERMAC, via SecuriDropper waargenomen op misleidende websites en platforms van derden, zoals Discord.

Cybercriminelen ontwikkelen hun bedreigingsinstrumenten

Er is nog een andere dropper-service aan het licht gekomen, bekend als Zombinder, die een bypass biedt voor de functie Beperkte instellingen. Zombinder is een APK-bindende tool waarvan werd aangenomen dat deze eerder dit jaar werd stopgezet. Het blijft onzeker of er een verband bestaat tussen deze twee instrumenten.

Terwijl Android bij elke nieuwe release steeds hogere beveiligingsnormen blijft stellen, passen cybercriminelen zich net zo snel aan en vinden ze nieuwe oplossingen. Dropper-as-a-Service (DaaS)-platforms zijn uitgegroeid tot krachtige instrumenten die fraudegerelateerde individuen in staat stellen apparaten binnen te dringen en spyware en banktrojans te verspreiden.